Home
Automatisierung & KI Daten & Controlling Websites & E-Commerce Massgeschneiderte Entwicklung KI-Schulung
App Vision Manifest Magazine Contatti
Anmelden Beratung buchen
Risiken & Regeln · Guide

Shadow AI: Ihre Mitarbeitenden nutzen schon ChatGPT mit Kundendaten

Während Sie diskutieren, "ob" Sie KI einführen, nutzt man sie im Unternehmen längst. Es ist das konkreteste Risiko, das Sie heute haben: was Sie riskieren und wie Sie es in 7 Schritten in Ordnung bringen.

Von Davide De Filippis 18. Juni 2026 9 Min. Lesezeit
Shadow AI: Kundendaten landen in ChatGPT

Während die Geschäftsleitung diskutiert, ob sie künstliche Intelligenz einführt, haben die Mitarbeitenden sie längst eingeführt. Ein grosser Teil der Belegschaft nutzt KI-Werkzeuge, die das Unternehmen nicht freigegeben hat, und fügt oft in ChatGPT oder ähnliche Dienste Kundenlisten, Verträge, Bilanzzahlen ein.

Das nennt sich Shadow AI und ist das konkreteste KI-Risiko, das die meisten KMU heute haben. Kein theoretisches Risiko der Zukunft: Es passiert diese Woche, in Ihrem Unternehmen, wahrscheinlich während Sie lesen.

Was Shadow AI ist (und warum es schon bei Ihnen im Haus ist)

Shadow AI ist die Nutzung von KI-Werkzeugen, die das Unternehmen weder freigegeben noch konfiguriert hat. Fast nie steckt böse Absicht dahinter: Die Menschen wollen einfach schneller und besser arbeiten. Der Vertriebsmitarbeiter, der ein Angebot umschreiben lässt, die Sachbearbeiterin, die einen Vertrag zusammenfassen lässt, wer eine Kundentabelle einfügt, um sie "in Ordnung zu bringen". Alles nachvollziehbar.

Das Problem ist nicht die KI: Es ist, was das Unternehmen verlässt, wenn ein vertrauliches Datum in ein öffentliches Werkzeug eingefügt wird, auf Server, von denen Sie nichts wissen, mit Nutzungsbedingungen, die niemand gelesen hat.

Was Sie wirklich riskieren: DSG und GDPR

Drei Dinge, in absteigender Konkretheit.

  • Verantwortlich bleiben Sie. Dass eine Mitarbeiterin oder ein Mitarbeiter das Datum in ein externes Werkzeug eingibt, ändert nichts: verantwortlich für die Bearbeitung sind Sie. Die Verantwortung geht nicht auf das Werkzeug über.
  • Personendaten ausser Kontrolle. Namen, Kontakte, Daten von Kundinnen, Kunden und Mitarbeitenden, eingegeben in Werkzeuge ohne Rechtsgrundlage und ohne angemessenen Vertrag mit dem Anbieter, sind eine Datenschutzverletzung. Landen die Daten auf Servern ausserhalb der Schweiz/EU ohne Garantien, verschärft sich das Problem.
  • Geschäftsgeheimnisse. Über den Datenschutz hinaus: Preislisten, Know-how, Strategien und vertrauliche Entwürfe, die in Logs landen können oder in einigen Fällen in den Trainingsdaten.

Regulatorisch betrachtet gilt in der Schweiz das Datenschutzgesetz bereits vollumfänglich für den Einsatz von KI: Sie bleiben verantwortlich für die Bearbeitung, müssen wissen, welche Werkzeuge genutzt werden, und angemessene Vereinbarungen vorsehen. In Italien und der EU gelten die Regeln der GDPR. In allen Fällen kann ein sorgloser Umgang mit Personendaten erhebliche Sanktionen und Haftung für das Unternehmen nach sich ziehen. Die Schweiz hat anders als die EU kein allgemeines, eigens der KI gewidmetes Gesetz, doch das entbindet nicht vom Datenschutz, der bereits voll in Kraft ist.

Dieser Artikel dient der Information und stellt keine Rechtsberatung dar: Für die in Ihrem Fall anwendbaren Pflichten empfiehlt sich stets eine Prüfung mit einer Fachperson.

Die goldene Regel

Wenn Sie es nicht per E-Mail an eine fremde Person schicken würden, fügen Sie es nicht in ein öffentliches KI-Werkzeug ein. Eine Regel, die sich jede und jeder im Unternehmen merken kann.

Warum Verbieten nicht funktioniert

Die instinktive Reaktion ist das Verbot: "ChatGPT verboten". Es funktioniert selten. Das blosse Verbot beseitigt Shadow AI nicht, es drängt sie nur weiter in den Schatten: Die Leute nutzen heimlich das private Telefon, und Sie verlieren auch noch die geringe Sichtbarkeit, die Sie hatten. Obendrein verzichten Sie auf die realen Vorteile, die KI bringen kann.

Der Weg, der funktioniert, ist das Gegenteil: eine sichere Alternative, klare Regeln und ein Minimum an Schulung anbieten. Wenn das gute Werkzeug existiert, wird das riskante überflüssig.

Die Anleitung in 7 Schritten für den sicheren KI-Einsatz

Ein konkreter Weg, machbar für ein KMU, ohne eigene Rechtsabteilung.

  • 1. Erfassen Sie, was schon genutzt wird. Fragen Sie die Leute, ohne Schuldzuweisung, welche KI-Werkzeuge sie nutzen und wofür. Es ist eine Bestandsaufnahme, kein Verfahren. Das Bild überrascht meist.
  • 2. Klassifizieren Sie die Daten. Legen Sie fest, was nie hinausgehen darf (Kundendaten, Verträge, sensible Daten) und was frei ist (generische Texte, Ideen, öffentliche Entwürfe). Eine einfache Regel schlägt ein kompliziertes Reglement.
  • 3. Bieten Sie ein sicheres Firmenwerkzeug an. Zum Beispiel Microsoft Copilot innerhalb des Firmen-Tenants, oder ein Werkzeug mit einer Vereinbarung zur Datenbearbeitung und, wo nötig, Daten, die in der Schweiz oder der EU bleiben. Mit der richtigen Alternative bricht die Shadow AI von selbst zusammen.
  • 4. Schreiben Sie eine einseitige Richtlinie. Was erlaubt ist und was nicht, mit konkreten Beispielen ("keine Kundenlisten einfügen", "ok zum Umschreiben eines generischen Texts"). Eine Seite, die die Leute lesen, kein Traktat, das niemand öffnet.
  • 5. Konfigurieren und begrenzen. Deaktivieren Sie die Datennutzung fürs Training, wo möglich, setzen Sie die Berechtigungen, trennen Sie private von geschäftlichen Konten. Ein grosser Teil der Sicherheit ist Konfiguration.
  • 6. Schulen Sie die Menschen. Eine Stunde praktische Schulung ist mehr wert als zehn Verbote: zeigen Sie, was sicher ist und warum. Es ist auch der Weg, KI vom Risiko zum Vorteil zu machen. (Das ist der Sinn unserer KI-Schulung.)
  • 7. Aktualisieren Sie Datenschutzerklärung und Verzeichnis. Geben Sie in der Datenschutzerklärung die genutzten KI-Werkzeuge und die allfällige Logik automatisierter Entscheidungen an und führen Sie ein aktuelles Verzeichnis der Bearbeitungen. Das ist der formelle Teil, aber er deckt Sie ab.

Vom Risiko zum Vorteil

Shadow AI anzugehen ist nicht nur Verteidigung. Es ist die Gelegenheit, KI auf die richtige Weise ins Unternehmen zu bringen: mit einem verlässlichen Werkzeug, klaren Regeln und Menschen, die wissen, was sie tun. Wer jetzt Ordnung schafft, reduziert nicht nur das Risiko: er startet mit Vorsprung, weil er KI mit Vertrauen nutzt, während andere sie heimlich und schlecht nutzen.

Wollen Sie den KI-Einsatz in Ihrem Unternehmen absichern? Wir können Ihnen helfen, die Bestandsaufnahme zu machen, das richtige Werkzeug zu wählen, die Richtlinie zu schreiben und das Team zu schulen, ausgehend von einer Beratung.

Beratung buchen Die Leistung KI-Schulung

Häufige Fragen

Ist es illegal, ChatGPT im Unternehmen zu nutzen?

Nein, nicht an sich. Zum Problem wird es, sobald Sie personenbezogene oder vertrauliche Daten ohne die richtigen Garantien eingeben: eine Rechtsgrundlage, einen angemessenen Vertrag mit dem Anbieter und das Bewusstsein, wo die Daten landen.

Hat die Schweiz ein Gesetz über künstliche Intelligenz?

Kein horizontales Gesetz wie der europäische AI Act: Die Schweiz hat einen sektoriellen Ansatz gewählt. Aber das Datenschutzgesetz (revDSG/DSG) gilt bereits vollumfänglich für den Einsatz von KI.

Ist Microsoft Copilot sicherer als ChatGPT?

Genutzt im Firmen-Tenant, mit Daten, die im Perimeter von Microsoft 365 bleiben, und ohne Training mit Ihren Daten, bietet es Garantien, die die öffentliche und kostenlose Version von ChatGPT nicht gibt. Vieles hängt von der Konfiguration ab.

Kann ich den Einsatz von KI einfach verbieten?

Können Sie, aber es funktioniert selten: Das blosse Verbot drängt die Nutzung in den Schatten, auf private Geräte. Besser funktioniert es, eine sichere Alternative, klare Regeln und etwas Schulung anzubieten.

Werden die Daten, die ich in ChatGPT eingebe, zum Training des Modells verwendet?

Das hängt vom Werkzeug und den Einstellungen ab. In den Business- und Enterprise-Versionen oft nicht; in den kostenlosen oft schon, sofern nicht ausdrücklich deaktiviert. Das ist für jedes Werkzeug zu prüfen.

← Zurück zum Magazine